Matthias Gläßner – Senior TYPO3 Architekt

Security · DSGVO · TOMs · Consent · Logging

TYPO3 Security & DSGVO:
Wie Sie Risiken reduzieren,
Compliance sichern & Releases stabil halten

Security und DSGVO sind in TYPO3-Projekten selten „nur Technik-Themen“. Sie betreffen IT, Fachbereiche, Datenschutz, Kommunikation und Management gleichermaßen – und landen häufig erst dann auf dem Tisch, wenn Audits anstehen oder Vorfälle auftreten. Diese Seite zeigt, wie Sie TYPO3-Sicherheit und Datenschutz pragmatisch integrieren: von Updates und Rollen über TOMs und Logging bis zu Consent und Auftragsverarbeitung.

Security & Compliance-Leistungen ansehen Governance-Artikel lesen
Fokus: öffentliche Träger, Verbände & sicherheitskritische Umfelder Basis: OWASP-Prinzipien, TYPO3 Security Guidelines, DSGVO/TOMs Ergänzend zu Audit, Upgrade & Deployment

Security & Datenschutz im TYPO3-Kontext – mehr als nur „SSL & Cookie-Banner“

Häufig werden Security & DSGVO auf einzelne Maßnahmen reduziert: HTTPS, Cookie-Banner, ADV-Vertrag. In der Praxis geht es um ein Zusammenspiel aus Technik, Prozessen und Dokumentation:

  • • Sichere, aktuelle TYPO3-Versionen & Extensions
  • • Durchdachtes Rechte- & Rollenkonzept im Backend
  • • Logging, Monitoring, Backups und Incident-Handling
  • TOMs (technische & organisatorische Maßnahmen) rund um das System
  • • Rechtskonformer Umgang mit Cookies, Matomo/Analytics, Formularen, Newsletter, Drittanbietern

Ziel ist kein „perfektes“, sondern ein angemessen abgesichertes System, das Ihre Compliance-Anforderungen erfüllt – und trotzdem wirtschaftlich betreibbar bleibt.

Technische Security-Basics in TYPO3: Woran Sie nicht vorbeikommen

TYPO3 bringt ein solides Sicherheitsfundament mit – vorausgesetzt, es wird konsequent gepflegt und passend konfiguriert. Zentrale Bausteine:

Grundlage

Aktuelle Versionen & Patches

Sicherheitskonzept ohne aktuelle Versionen existiert faktisch nicht. Dazu gehören:

  • • unterstützte TYPO3 LTS-Version
  • • regelmäßige Security- & Bugfix-Updates
  • • gepflegte Extensions (keine „toten“ Packages)

→ Einstieg: Release-Check, Upgrade-Check

Zugänge

Authentifizierung & Berechtigungen

Ein sauberes Rollen- & Rechtekonzept ist oft wichtiger als die x-te Security-Extension:

  • • Keine „All-Admin“-Kultur
  • • Gruppen & Rollen dem Bedarf angepasst
  • • 2FA für kritische Zugänge (sofern möglich)
  • • Deaktivierung nicht mehr genutzter Accounts

→ Siehe auch: Governance

Hardening

Server, Header & Infrastruktur

Security endet nicht im TYPO3-Backend:

  • • Härtung von PHP, Webserver, DB, SSH
  • • Security-Header & (wo sinnvoll) CSP
  • • Trennung von Staging/Prod, kein „FTP-Produktivsystem“
  • • gesicherte Deployments & Secrets-Management

→ Vertiefung: Deployment

DSGVO & TOMs: Was konkret rund um Ihr TYPO3-System geregelt sein sollte

DSGVO ist kein „Checklisten-Thema“, aber für TYPO3-Systeme lassen sich wesentliche Bausteine gut strukturieren. Ein Auszug der Punkte, die in Audits häufig abgefragt werden:

1. Rollen, Verantwortlichkeiten & AV-Verträge

  • • Wer ist Verantwortlicher im Sinne der DSGVO?
  • • Welche Dienstleister sind Auftragsverarbeiter (Hosting, Agentur, SaaS-Services)?
  • • Liegen aktuelle AV-Verträge vor (inkl. TOMs, Subdienstleister, Speicherorte)?

2. „Datenminimierung“ im TYPO3-Setup

Prüfen Sie, welche Daten wirklich benötigt werden:

  • • Formularfelder (z. B. Pflichtfelder vs. freiwillige Angaben)
  • • Speicherdauer von Log- und Tracking-Daten
  • • Speicherung von IP-Adressen, User-IDs, Suchlogs

3. TOMs rund um Ihr TYPO3-System

Viele TOMs sind organisatorische Regelungen, hängen aber direkt mit TYPO3 zusammen:

  • • Rechte- & Rollenkonzepte (Wer darf was?)
  • • Passwort- und 2FA-Richtlinien
  • • Backup- & Restore-Prozesse (inkl. Test)
  • • Patch-/Update-Prozesse & Wartungsfenster
  • • Incident-Management & Meldewege

→ Ergänzend: Governance, Monitoring & Performance

Logging, Monitoring & Incidents: Was passiert, wenn etwas passiert?

Security & DSGVO sind nicht nur Prävention – es geht auch darum, Vorfälle zu erkennen, bewerten und sauber zu behandeln. TYPO3 spielt hier mit Infrastruktur und Organisation zusammen.

1. Sinnvolles Logging statt Datenfriedhof

Logging sollte sowohl für Security als auch für Fehlersuche nutzbar sein:

  • • Fehler-Logs (TYPO3, PHP, Webserver, DB)
  • • Login-/Backend-Logs (im Rahmen der DSGVO, mit Aufbewahrungsfristen)
  • • Deployment-Logs & Release-Historie

2. Monitoring & Alerting

  • • Verfügbarkeit und Ladezeiten der wichtigsten Seiten
  • • Fehlerquoten bei Formularen, APIs, Suche
  • • Schwellenwerte für ungewöhnliches Verhalten (z. B. Login-Versuche, 5xx-Fehler)

3. Incident-Handling & Kommunikation

Wenn doch etwas passiert, sollte nicht erst dann überlegt werden, wer was tut:

  • • klare Meldewege (intern & zum Dienstleister)
  • • vorbereitete Checkliste: welche Daten, welche Systeme, welche Nutzer:innen betroffen?
  • • Abstimmung mit Datenschutzbeauftragten & ggf. Aufsichtsbehörden

→ Ergänzend: Support-Check (Tickets strukturiert vorbereiten)

Typische Schwachstellen in TYPO3-Projekten – und wie Sie sie vermeiden

Einige Risiken tauchen in Audits immer wieder auf – unabhängig von Branche oder Projektgröße. Ein Auszug mit Gegenmaßnahmen:

Security-bezogene Anti-Pattern

  • Alle sind Admin: keine Rollentrennung, hohes Fehlbedienungs- und Missbrauchsrisiko.
  • Selbst geschriebene „Sicherheits-Extensions“ ohne Review, Tests oder Updates.
  • Manuelles „Patchen auf Live“ via FTP statt reproduzierbarer Deployments.
  • Ungeprüfte Drittanbieter-Integrationen mit eigener Tracking-/Cookie-Logik.

DSGVO-bezogene Anti-Pattern

  • Formulare ohne Transparenz (Zwecke, Empfänger, Speicherdauer unklar).
  • Kein Überblick über Datenflüsse (z. B. bei Jobportalen, Newsletter, CRM).
  • Cookie-Banner als reine Deko – technisch werden trotzdem alle Skripte geladen.
  • Logging ohne Aufbewahrungsregeln und ohne Löschkonzept.

Viele dieser Punkte lassen sich durch ein zielgerichtetes Audit & Refactoring in überschaubaren Schritten verbessern – statt den großen „Einmal-alles-neu“-Relaunch abzuwarten.

Vorgehen in der Praxis: Von der Bestandsaufnahme zur Security- & DSGVO-Roadmap

Statt „wir müssen alles sicher machen“ lohnt sich ein schrittweises, priorisiertes Vorgehen. Bewährt hat sich ein Ablauf in drei Stufen:

Stufe 1

Security- & DSGVO-Audit

Bestandsaufnahme von:

  • • TYPO3-Versionen & Extensions
  • • Rechte & Rollen, Authentifizierung
  • • Logging, Monitoring, Backups
  • • Cookies, Tracking, Formulare, Datenflüsse

→ Grundlage: TYPO3 Audit

Stufe 2

Risikoanalyse & Maßnahmenplan

Aus den Findings werden:

  • • Risiken priorisiert (Impact × Wahrscheinlichkeit)
  • • Quick-Wins vs. strukturelle Maßnahmen identifiziert
  • • Verantwortlichkeiten & Abstimmungen definiert
  • • ggf. rechtliche Themen mit Datenschutz/Recht koordiniert

Stufe 3

Umsetzung & Verstetigung

Umsetzung in Sprints mit:

  • • Upgrades, Refactorings, Hardening
  • • Governance-Anpassungen & Schulungen
  • • Ergänzung von TOMs, Dokumentation, Prozessen
  • • Integration in Wartungs- & Release-Zyklus

→ Siehe auch: Release-Zyklus, Projektplanung

Häufige Fragen zu TYPO3 Security & DSGVO

Einige Fragen tauchen in Gesprächen mit IT, Datenschutz, Fachbereichen und Management immer wieder auf:

Reicht es, wenn unser Hoster „Security mitmacht“?
Hosting ist ein wichtiger Baustein – aber nur ein Teil des Bildes. Security & DSGVO betreffen u. a. auch:
  • Codequalität & Extensions,
  • Rechte & Rollen im Backend,
  • Formulare, Cookies, Tracking, Integrationen,
  • Prozesse & Dokumentation (TOMs, AV-Verträge, Incident-Handling).
Daher ist ein gemeinsamer Blick von Hoster, Entwickler:innen und Datenschutz sinnvoll.
Müssen wir für Security & DSGVO immer direkt ein großes Projekt aufsetzen?
Nicht zwingend. In vielen Fällen reicht ein fokussiertes Audit plus eine priorisierte Maßnahmenliste, die schrittweise umgesetzt wird – z. B. im Rahmen von ohnehin geplanten Upgrades oder Relaunches. Wichtig ist, dass Risiken transparent gemacht und bewusst adressiert werden – statt „unter dem Radar“ zu bleiben.
Wie tief müssen wir als Fachbereich Security & DSGVO verstehen?
Sie müssen nicht jedes technische Detail kennen – aber die Grundmechanismen und Auswirkungen. Hilfreich sind z. B.:
  • ein gemeinsames Verständnis von Rollen & Verantwortlichkeiten,
  • Kenntnis der wichtigsten Datenflüsse (Formulare, Schnittstellen, Tracking),
  • Bewusstsein, welche Änderungen sicherheitsrelevant sind (z. B. neue Integrationen, neue Datenverarbeitungen).
Genau hier setzen gemeinsame Workshops mit IT, Datenschutz und Fachbereichen an.
Wie verknüpfen wir Security & DSGVO mit unserem Release- & Upgrade-Zyklus?
Sinnvoll ist, Security & DSGVO nicht als „Extra-Projekt“, sondern als Querschnittsthema zu behandeln:
  • Security- & DSGVO-Checks in reguläre Wartungsfenster integrieren,
  • größere Themen (z. B. neue Consent-Lösungen, Rollenmodelle) mit Upgrades kombinieren,
  • Audits & Pen-Tests an wichtigen Release-Meilensteinen einplanen.
So entsteht eine kontinuierliche Verbesserung, statt alle paar Jahre ein „großes Aufräumen“ erzwingen zu müssen.

Sie möchten Ihr TYPO3-System Security- & DSGVO-fit machen – ohne Overkill?

Ob Behördenportal, Verbands-Website oder Unternehmensauftritt – Security & Datenschutz sind kein „Nice-to-have“ mehr, sondern Voraussetzung für Vertrauen, Compliance und stabile Releases. In einem kurzen Erstgespräch klären wir, wo Sie stehen, welche Anforderungen Sie erfüllen müssen und welches Vorgehen sinnvoll ist: fokussiertes Security-Audit, Upgrade-Projekt oder kombinierte Roadmap mit Governance & Schulungen.

Security & Compliance-Leistungen ansehen Artikel zum TYPO3 Audit lesen Security-Situation kurz besprechen